Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目，并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

怎樣區(qū)分內(nèi)部人員和非內(nèi)部人員編寫的惡意軟件?是否有軟件產(chǎn)品可以將由企業(yè)內(nèi)部人員編寫的惡意軟件檢測出來?

[[128902]]

Nick Lewis：可信內(nèi)部人員發(fā)起的攻擊是最常見和最古老的威脅之一。這些人可能已經(jīng)擁有訪問權(quán)限來發(fā)起惡意攻擊，或者他們可以通過本地權(quán)限提升攻擊來容易地訪問敏感數(shù)據(jù)。

雖然區(qū)分內(nèi)部人員和非內(nèi)部人員攻擊很困難，但更困難的是檢測內(nèi)部人員編寫的惡意軟件。外部惡意軟件編程者編寫的有針對性攻擊可能會偽裝成來自內(nèi)部的攻擊，因?yàn)檫@個(gè)攻擊中可能利用了內(nèi)部賬戶。

另外，數(shù)據(jù)泄露也可能是內(nèi)部人員攻擊。

與內(nèi)部惡意軟件相比，非內(nèi)部人員和非定制化惡意軟件更容易檢測，因?yàn)閬碜云渌W(wǎng)絡(luò)的其他系統(tǒng)可能會向反惡意軟件供應(yīng)商提交相同的可疑文件;供應(yīng)商的安全情報(bào)也有助于對這種威脅的檢測。

然而，現(xiàn)在沒有軟件產(chǎn)品可以發(fā)現(xiàn)企業(yè)內(nèi)部人員編寫的惡意軟件。你可以確定惡意軟件是否使用了內(nèi)部命令和控制系統(tǒng)，或者文件是否是從合法系統(tǒng)下載。在發(fā)現(xiàn)惡意軟件文件后，應(yīng)該檢查其共享庫或編碼風(fēng)格，并與企業(yè)內(nèi)部風(fēng)格進(jìn)行對比，查看是否有任何共同之處。

企業(yè)可以通過監(jiān)控系統(tǒng)和審查日志中的可疑活動來檢查內(nèi)部攻擊(無論是否使用自定義開發(fā)的惡意軟件)，例如檢查身份驗(yàn)證在何時(shí)何地發(fā)生，以及在這些系統(tǒng)哪些文件被訪問。CERT也在專注于內(nèi)部威脅，并提供了內(nèi)部威脅最佳做法列表來幫助防止和檢測內(nèi)部威脅。